身份证信息不经同意就收集,两百款移动金融APP六成不合规


来源:南方都市报    作者:蒋琳 娜迪娅 冯群星 李玲    2018-3-21 14:24

3月15日,南都个人信息保护研究中心与中国人民大学金融科技与互联网安全研究中心联合发布《移动金融用户个人信息安全测评报告》。据了解,此次测评涵盖200款移动金融交互类APP产品,在2018年2月1-4日与2月17-20日两次采样,根据结果具体测评了隐私政策、敏感权限获取、财产身份信息收集告知的合规程度。结果显示,六成受测APP未经用户明示同意就收集用户的财产身份信息。

移动金融类APP往往涉及到银行账户信息、贷款及还款信息、公积金缴纳信息、手机运营商信息等大量个人敏感信息。报告提醒,许多APP在收集用户信息阶段都做不到合法合规,在存储和使用阶段的安全性值得用户警惕。

九成APP隐私政策合规度低

其中20款任由用户隐私“裸奔”

所谓移动金融,是以移动互联网为基础,以移动智能终端为载体,向用户提供的随时随地随身的金融服务。报告发布者称,研究团队根据日常生活相关度、用户使用量和使用频率等因素,选择了公众使用最为频繁的200款移动金融交互类A PP产品,对其隐私政策进行测评。

“隐私政策”,是企业与用户之间规定基本权利义务的文件,用以告知用户个人信息如何被收集、使用或是与第三方共享。用户通过与企业签署隐私政策协议,可以使自己的个人信息得到更好保护。

此前,南都个人信息保护研究中心曾针对十多个行业的1550个网站和A PP进行隐私政策测评,结果显示,隐私政策合规程度高的网站和A PP极少,合规程度低的则占到绝大多数,超过总数的80%。

与其他行业相比,移动金融类A PP无疑更为特殊。这类A PP在提供服务过程中涉及大量敏感个人信息,因而更有必要提供完整、有效、合规的隐私政策。

但报告指出,200款A PP中仅有2款能够达到隐私政策合规程度高的标准,合规程度较高的有3款,高与较高的A PP一共只占总数的3%。合规程度中等的A PP也仅有13款,占比6%。这些A PP的测评得分超过60分,算作及格。在合规程度最高的几款APP中,支付宝、京东金融评分并列第一,评分为95分;人人贷、小米金融并列第二,评分为82分。

合规程度“较低”和“低”的APP分别为71款和111款,二者相加多达182款,超过总数的90%。其中,20款得分为0的A PP完全没有隐私政策,这意味着它们在收集用户实名信息、银行卡信息等敏感信息时,根本没有作出任何保护用户个人信息的承诺。报告指出,这样的APP值得警惕。

需要注意的是,中国银行与中国建设银行由于是实体银行的线上应用平台,与其他A PP在用户协议签订时略有不同。一般情况下,银行A PP的用户往往已经在线下柜台完成面对面签约再使用线上平台。因此有观点认为,实体银行的线上产品不需要再提示用户协议与隐私政策。但本报告认为,线上收集个人信息与线下收集个人信息,在收集内容、存放方式、保护手段等都有很大不同,因此实体银行的线上产品应当提供专门的隐私政策。

报告还总结了200款APP的普遍失分点,包括未向用户提供补充或删除的有效途径、未说明产品和服务停止运营时如何处理用户个人信息等。这反映出,在网络安全法、《电信和互联网用户个人信息保护规定》等法律法规已经有明确要求的情况下,企业仍没有对用户权益给予足够重视。

报告称,总体来看,大部分APP的隐私政策都存在言语模糊、更新缓慢、暗藏格式条款等弊病。从内容来看,描述企业权利以及可免除责任的居多,描述企业在保护用户个人信息时应尽义务的寥寥。针对个人信息泄露、毁损、丢失的情况,极少数企业明确提出将承担法律责任并采取补救措施。事实上,这可以视为企业在削减自己的责任。

严重违背个人信息最小化收集原则

短信、通讯录、地理位置通通拿走

《信息安全技术个人信息安全规范》国家标准规定,互联网产品收集用户个人信息应符合最小化原则。根据这一原则,只有当用户的个人信息与产品的业务功能有直接关联时,产品才可以收集。以地图类APP为例,用户不提供地理位置信息,APP的功能就无法实现,因此地图类A PP收集用户的地理位置信息符合最小化原则。

然而,200款移动金融APP在测评中表现糟糕。研究者考察了照片、录音、手机通讯录、手机短信、地理位置等敏感信息的收集情况后发现,绝大多数移动金融APP抱着“无论是否需要,一律收集上来再说”的态度对待用户个人信息,这已严重违反最小化收集原则。

值得注意的是,200款移动金融交互类APP产品中,有95款向系统申请了读取短信的权限,几乎达到半数。

据了解,APP调用读取手机短信的权限,通常是为了帮助用户自动填写短信验证码。报告指出,就算移动金融APP没有权限读取手机短信,用户依然能手动填写短信验证码。读取短信与移动金融APP的业务功能没有直接关联,不符合收集个人信息最小化的原则。更重要的是,用户的短信内容常常包含银行卡余额、改密验证码等敏感信息,一旦泄露后果严重。95款APP因此被扣分。

收集地理位置信息也是移动金融A PP违反最小化原则的重灾区,173款A PP在此项被扣分。报告发布者称,研究团队在实际测评中尝试拒绝A PP读取这项信息,并未发现对使用APP有任何影响。由此可见,无论是借贷类、支付类亦或理财类、实体银行的线上产品,都没有功能或服务必须依靠收集地理位置信息才能实现。

此外,97款获取了读取手机通讯录的权限。报告指出,一些借贷类A PP会通过读取通讯录信息向借债人的好友家人催债。但借贷催债目前仍处在法律的灰色地带,未经借债人亲友同意就打电话催债,无疑是一种骚扰。报告建议,借贷类A PP的催债对象应该是借债人主动填写的担保人或其认为可以作为催债对象的亲友,而不是通讯录上的任意对象。

南都记者还注意到,部分移动金融A PP具有上传身份证、更换头像、扫一扫支付、金融论坛发帖等功能,这些功能需要照相机才能实现,可以被认为与业务功能有直接关联。但据报告统计,163款A PP获取照相机权限,仅有37款有相关功能。

收集财产信息前理应“明示同意”

200款APP中有六成没做到

移动金融APP的一大特殊之处是需要收集用户的财产和身份信息,包括银行账户信息、贷款及还款信息、公积金缴纳信息、手机运营商信息、工作单位信息、个人学历信息等。按照网络安全法、消费者权益保护法等规定,收集此类信息之前,应取得用户的明示同意。

一般而言,APP会在用户填写银行卡身份证等信息时显示相关文本协议,即“明示”。用户知晓协议内容,愿意让A PP收集自己的信息,确认同意后才能完成信息收集,即“同意”。但报告显示,被测的200家移动金融A PP中,六成A PP的“明示同意”过程很不规范。

相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号